Windows 管理规范事件订阅

对手可能会通过执行由 Windows 管理规范 (WMI) 事件订阅触发的恶意内容来建立持久性和提升权限。WMI 可用于安装事件过滤器、提供程序、消费者和绑定，当定义的事件发生时执行代码。可能订阅的事件示例包括时钟时间、用户登录或计算机的运行时间。(引用: Mandiant M-Trends 2015) 对手可能会利用 WMI 的功能订阅事件，并在事件发生时执行任意代码，从而在系统上提供持久性。(引用: FireEye WMI SANS 2015)(引用: FireEye WMI 2015) 对手还可以使用 mofcomp.exe 将 WMI 脚本编译成 Windows 管理对象 (MOF) 文件（.mof 扩展名），这些文件可用于创建恶意订阅。(引用: Dell WMI Persistence)(引用: Microsoft MOF May 2018) WMI 订阅执行由 WMI 提供程序主机进程 (WmiPrvSe.exe) 代理，因此可能会导致提升的 SYSTEM 权限。